Microsoft официально объявила, что 14 октября 2025 года станет последним днём поддержки обычных версий Windows 10. Это значит, что версии Home, Pro, Education и даже обычная Enterprise больше не будут получать обновления безопасности. Даже если система работает стабильно, без новых патчей она постепенно станет уязвимой.
После этой даты Microsoft прекратит выпуск обновлений безопасности и исправлений ошибок для всех стандартных редакций Windows 10. Под прекращение поддержки попадают Windows 10 Home, Pro, Education и Enterprise (не LTSC). Теоретически можно будет купить платную подписку Extended Security Updates (ESU), которая продлит обновления до 2026 года, но это временная мера и рассчитана в первую очередь на организации.
Однако есть исключение — версия Windows 10 Enterprise LTSC 2021 (внутренне 21H2). Это не обычная десятка, а специальная сборка для предприятий, медицинского оборудования и тех, кому нужна максимальная стабильность. Она не получает новых функций, только обновления безопасности, и будет поддерживаться до 12 января 2027 года.
Чтобы установить Windows 10 Enterprise LTSC 21H2, не нужно мощное оборудование. Минимальные требования включают процессор с частотой от 1 GHz и двумя ядрами, 2 ГБ оперативной памяти, 20 ГБ свободного места на диске, видеокарту с поддержкой DirectX 9 и экран с разрешением не менее 800×600 пикселей. Даже старые компьютеры справляются с этой системой без проблем.
Многие выбирают LTSC потому, что она не навязывает лишние функции, не устанавливает рекламные приложения и не перезагружается после каждого обновления. Это вариант для тех, кто хочет стабильную систему, которая просто работает.
В будущем можно перейти на Windows 11 Enterprise LTSC 24H2, поддержка которой продлится до 2029 года. Но у неё будут более строгие требования: TPM 2.0, Secure Boot и минимум 4 ГБ RAM. Поэтому для владельцев старых компьютеров именно LTSC 2021 остаётся последним надёжным вариантом. Сам я пользуюсь Windows 11 Enterprise LTSC 24H2. Но скажу, что Windows 10 Enterprise LTSC 21H2 - это самое лучшее творение из 10к
Решил я как-то раз написать прогу, которая будет полностью удаленно и тайно мониторить систему кого-либо (логирование клавиатуры, подключение и запись микрофона/видео/фото). Кому интересно ознакомиться, пишите в комментах тгк, https://t.me/khovas_TGK .
основные функции
Написал на питоне прогу (основные функции), подключил бота в тг (управление) и закинул на тест своим кентам. Она показала себя крайне хорошо. Так как мне не сидится на попе ровно, я решил проверить ее на вирусы в ДокторВебе. Анализ показал, что это какой-то вид троянов. Радостный я пошел играть в доту и ни о чем не переживал (пока что).
Вдруг мне приходит уведомление от бота о том, что подключились два неизвестных ПК. Сказать, что я ахуел,- ничего не сказать... Следующий час моей жизни был похож на состояние при температуре тела в 40 градусов.
первый неизвестный пк
второй неизвестный ПК
Было несколько причин, почему мое очко сузилось до нулевых координат: 1. после подключения к системе эти устройства перестали выходить на связь через команду /ping! 2. Я ХРАНИЛ API ключ своего бота и свой ID прямо в коде (большая и серьезная проблема)! 3. я не знал, кто это и что это!
Я пробил апишники, и, как оказалось, это были модеры (скорее всего, основывался на своих догадках) ДокторВеба. Организация зарегистрированная по адресу, была что-то по типу главного офиса "Контроль над безопасностью трафика в интернете". Я начал паниковать...
Единственное что мне пришло в голову, - это отключение( удаление) бота. Так я решил обезопасить себя.
Написание и изучение вирусов для ПК-систем (без дальнейшего распространения) не нарушает законы РФ!
Спустя время (пару дней) я сумел успокоиться.
Выводы: 1. не храним личную инфу напрямую в коде. 2. сначала гуглим законы, а потом паникуем.
🗓 25.07 — День системного администратора (SysAdmin Day) [вехи_истории]
🎉 Праздник был придуман в 2000 году американским IT‑специалистом Тедом Кекатосом. Он хотел отблагодарить коллег, которые остаются «за кадром», поддерживая работу серверов, сетей и баз данных. Первое празднование прошло в последний пятничный день июля, и с тех пор этот день стал традицией во многих странах.
Интересное:
🔸 Основная цель праздника — напомнить пользователям, что за стабильной работой компьютеров стоят люди, а не магия.
🔸 Сисадминов часто называют «невидимыми героями» — их труд замечают только при сбоях. Или ругают.
🔸 Современный сисадмин совмещает роли инженера, архитектора сетей, специалиста по кибербезопасности и психолога для пользователей.
🔸 Символом праздника считается кружка кофе, ведь именно с ним начинается большинство дежурств.
💜 С праздником СисАдмины!) Пусть в ваших компаниях будет меньше сбоев)
===================================== 👇👇Наш канал на других площадках👇👇 YouTube | VkVideo | Telegram | Pikabu =====================================
Россия делает очередной шаг к цифровому суверенитету. Разработчики предложили обязать производителей ноутбуков, продаваемых в нашей стране, предустанавливать хотя бы одну российскую операционную систему.
Идея – здравая. Министр цифрового развития Шадаев уже заявил, что реализовать ее довольно легко. Речь идет о таких решениях, как Astra Linux, Альт, Red OS. Windows – пожалуйста, но не вместо, а в дополнение. Никакой катастрофы не произойдет. Потому что речь идет не о запретах, а о праве выбора. Хочешь – работай на Astra, хочешь – на Windows. Но хотя бы познакомься с отечественным продуктом.
Проблема – не в отсутствии решений, а в массовой инерции. Сегодня российские ОС занимают 2–3% в рознице и 7% в корпоративном сегменте. Для сравнения: в 2024 году было продано почти 4 млн ноутбуков. Значит, абсолютное большинство пользователей физически не видели, как выглядит Astra или Red OS. Ни в рекламе, ни на прилавке. В таком положении никакой "рынок сам разберется" не работает. Для этого и нужен протекционизм – не для запрета, а для узнаваемости.
Разработчики готовы: "Астра" адаптирует систему под массовый сегмент, Red OS – уже на полке. Устройства с отечественным софтом предлагает iRU, совместимость решается, как говорят инженеры, "в рабочем порядке".
Однако надо понимать, что пока интерфейсы и дистрибуция не догонят привычные решения, скачка не будет. Но и без системных шагов все это так и останется нишевыми продуктами для госконтрактов.
Что важно – государство идет аккуратно. Никто не предлагает рубить с плеча, поэтому речь идет об установке российских ОС в дополнение. Догнать зарубежные системы можно только тогда, когда продукт опробован на практике и получил отклик миллионов пользователей. После его уже предстоит дорабатывать и доводить до ума.
Еще больше интересных материалов в моем telegram-канале "Константин Двинский"
Не забываем ставить лайк :) Подписывайтесь, чтобы ничего не пропустить!
🦠В этот день началась глобальная эпидемия вируса-вымогателя WannaCry, которая затронула более 200 000 компьютеров в 150+ странах мира. Это одна из самых разрушительных кибератак в истории.
🪱 Вирус использовал уязвимость в протоколе SMB (Server Message Block) операционных систем Windows, известную как EternalBlue. Эту уязвимость ранее эксплуатировало Агентство национальной безопасности США (NSA), но её код был похищен и выложен в открытый доступ хакерской группировкой Shadow Brokers. Microsoft выпустила патч за два месяца до атаки, но многие системы не были обновлены, особенно в государственных структурах и крупных корпорациях, использующих устаревшее ПО.
💵 После заражения WannaCry шифровал файлы пользователя и требовал выкуп в размере $300–$600 в биткойнах. Среди пострадавших — британская служба здравоохранения NHS (отменены операции, отключены компьютеры), российское МВД, Deutsche Bahn, FedEx, Renault, Telefónica и множество других организаций. Атака остановилась только благодаря 22-летнему британскому исследователю, который случайно активировал «киллсвитч», зарегистрировав домен, указанный в коде вируса.
Помните о таком?
🩵 Пусть ваши данные всегда будут в безопасности)
👇👇Наш канал на других площадках👇👇 YouTube | RuTube | Telegram | Pikabu =====================================
Ну что ж, скачаем. Заметим, что заархивированы файл занимает всего 123 кб.
После распаковки на диск мы видим, что размер файла стал почти 18 мБ
О чем это нам говорит? А о том, что файл хорошо сживается, и что его кто-то специально раздул до таких больших размеров. Цель тут одна – затруднить отправку файла в различные онлайн сервисы по исследованию программ. Ок, давайте это проверим. Загрузим в ExeInfo и видим наличие оверлея (доп информация в файле). Просто вырежи его в отдельный файл.
Новый файл astral free 0.33.1_noOVL создан, и мы получили нормальный размер. А сам оверлей – это просто большой кусок, забитый нулями, ничего интересного он не представляет.
Хорошо, посмотрим что этот файл делает, откроем его в дизассемблере и перейдём в главную функцию, которая исполняется при запуске.
Что же мы видим? Создаётся «метка» с именем nero_preloader, видимо именно этой программой и был сгенерирован дропер. Пока ничего страшного, посмотрим чуть ниже.
P.S. Кто-нибудь знает что такое nero_preloader? Ответьте в коментариях.
Ага, интересная функция, зайдем в нее:
ссылка на скачивание
запуск исполняемого файла
Вот оно! Скачивается файл по определённому адресу: http://uffyaa[.]ru/PacketgeoDbbaseFlowerDatalifeLocalpublicDownloads/da5911c60d39ce73116584ec5e0325f503780e55693c9952e76cab1c0441652055d0bd67ed27bb89, копируется в :\\ProgramData\\sessionuserhost.exe и запускается. На этом функционал этого исполняемого файла закончен, но это же нас не остановит? Скачаем и продолжим исследование дальше.
На этот раз скачался исполняемый файл весом в 400 кБ, назовём его test.exe и продолжим
файл по ссылке выше
Так же откроем функцию main() и посмотрим, что она делает. О, что мы видим!!
Основные действия функции
Получение системных путей:
Получает путь к системной директории Windows с помощью GetSystemWindowsDirectoryA
Формирует пути к различным системным и программным директориям
Создание вредоносных файлов и сервисов:
Создает файл sessionuserhost.exe в ProgramData
Создает задание в планировщике задач (schtasks /create) для автоматического запуска этого файла при входе в систему
Создает сервис с именем InputService через sc create
Добавляет исключение в защитник Windows через PowerShell (Add-MpPreference -ExclusionPath)
Подмена системных файлов:
Работает с файлом hosts (\\Windows\\System32\\drivers\\etc\\hosts)
Вмешивается в системные файлы в директории Recovery
Маскировка под легитимные процессы:
Создает файлы с именами, похожими на легитимные процессы:
steamuiupdater.exe
EpicOnlineServicesUpdater.exe
G HUB tray.exe
Riot Client Updater.exe
MSIAfterburnerServiceMonitorTray.exe
NVIDIA app tray.exe
twain_32.exe
system auditor.exe
EpicOnlineServicesInstalator.exe
Выполнение команд с повышенными привилегиями:
Использует ShellExecuteA с параметром "runas" для выполнения команд от имени администратора
Выполняет несколько вредоносных команд через cmd.exe
стоки в файле test.txt
Продолжаем исследовать дальше, видим обращение к некоторому адресу https://pastebin[.]com/raw/qQe7Aa7D
от кроем его, что же мы видим:
Ага, видим то, что запишется в HOST файл нашего компьютера, теперь ни одна ссылка из этого списка не будет открываться. Кроме того, мы видим еще 3 ссылки, В коде программы это выглядит вот так:
Дальше часть кода процедуры из test.exe:
Как видим, скачанный нами файл будет называться :\\ProgramData\\controlhost.exe, тоже самое и для остальных двух файлов.
И так, основные функции данного файла и Основная цель функции:
Попытаться скачать файл config.json с ресурса https://pastebin.com/raw/qQe7Aa7D и, если это не удалось, выполнить резервную загрузку дополнительных данных (3 имполняемые файла) с нескольких подозрительных доменов (в частности, uffyaa.ru).
Из второго аргумента (a2) извлекаются указатели и длина строки (путь к директории), к которому дописывается :\\ProgramData\\config.json.
Формируется целевой путь к файлу:
Собирается строка пути, куда должен быть сохранён файл: например, C:\ProgramData\config.json.
Попытка загрузки файла с Pastebin:
Используется URLDownloadToFileA, чтобы скачать файл по указанному URL и сохранить в подготовленном пути.
Если загрузка прошла успешно, функция завершает работу, иначе переходит к резервной логике.
Резервная логика загрузки (fallback):
Если основной файл не загружен, вызывается функция download01 с различными параметрами (ключи: "count", "type", "link0", "link1", "link2").
Эти ключи соответствуют различным частям конфигурации или файлов:
"type": ".exe" — ожидается исполняемый файл.
"link0", "link1", "link2" — это прямые ссылки на вредоносные загрузки с сервера uffyaa.ru, каждая ведёт к конкретному зашифрованному или закодированному payload.
Заключение:
Функция реализует двухэтапную схему получения вредоносной конфигурации:
Сначала пытается скачать конфиг с Pastebin.
Если не удалось — переходит к запасным URL, каждый из которых может представлять отдельную угрозу (исполняемые файлы, настройки, ключи и т.д.).
Продолжим наше исследование и скачаем содержание этих 3-х ссылок:
1. Запускается file1.exe с повышенными правами (администратор), что критично для выполнения всех следующих действий.
2. Копирует .exe файлы в каталоги %UserProfile% и %ProgramData%. Это позволяет запускать и сохранять вредоносный код без обнаружения.
3–4, 18–19. Удаление обновления Windows KB890830
wusa /uninstall /kb:890830 /quiet /norestart
KB890830 — это средство удаления вредоносных программ (MSRT).
Злоумышленник удаляет его, чтобы оно не удалило вредоносное ПО.
5–8, 20–24. Отключение обновлений и службы передачи данных
sc stop UsoSvc
sc stop wuauserv
sc stop bits
sc stop dosvc
* Отключение служб:
Центра обновления Windows (wuauserv)
Интеллектуальной передачи данных в фоне (BITS)
Обновления операционной системы (UsoSvc, WaaSMedicSvc, dosvc)
* Цель: остановить обновления и вмешательство Microsoft.
9–11, 25–28. Отключение автоматического сна и гибернации
powercfg.exe /x ...
* Модифицирует схемы питания:
Устанавливает таймауты гибернации и сна в 0.
* Цель: предотвратить переход ПК в спящий режим, чтобы вредоносный код работал непрерывно
12. Создание dialer.exe в system32
Необычное место и имя.
13–16. Создание и запуск вредоносной службы
sc delete "EJJYGAKZ"
sc create "EJJYGAKZ" binpath= "..." start= "auto"
sc stop eventlog
sc start "EJJYGAKZ"
Удаляется старая служба, создаётся новая с автостартом.
Программа lxwvsyozcpiw.exe будет запускаться при загрузке.
Остановка eventlog — попытка скрыть следы в журнале событий.
17, 31. Выполнение сложного PowerShell-скрипта с динамической загрузкой и внедрением
Скрипт создает динамический делегат, используя Reflection.Emit.
Получает доступ к системным сборкам и вызывает низкоуровневые функции.
Используется Marshal::GetDelegateForFunctionPointer, Copy, Invoke и т.п.
Это указывает на:
Создание и внедрение shell-кода
Вызов функций из сторонних DLL
Динамическую декриптацию или загрузку полезной нагрузки
Также возможно, что выполняется DLL-сидeloading или внедрение в dllhost.exe.
30. Запуск DLLHost с нестандартным идентификатором COM
* Вероятно, загрузка вредоносной DLL через COM-объект.
* Используется для маскировки и уклонения от обнаружения.
29. Запуск dialer.exe
Ранее созданный исполняемый файл.
Основной вредоносный компонент.
Итоговая цель вредоносной программы
Получить полный контроль над системой
Отключить защиту и обновления
Скрыть активность
Закрепиться через автозапуск
Выполнить вредоносную нагрузку (включая DLL sideloading, shellcode, системные вызовы)
Возможное дальнейшее заражение или шпионаж
Как вы могли заметить, выполнились 2 PowerShell скрипта, после их расшифровки мы можем понять, что делает эта программа. Вот подробное описание, что делает эта вредоносная программа на основе всех 31 шага:
🔧 1. Запуск вредоносного исполняемого файла с правами администратора
📛 Цель — остановить обновления и автоматическое восстановление системных компонентов, чтобы система не восстановилась после заражения.
🔌 9–11, 25–28. Изменение параметров электропитания
cmd powercfg.exe /x -standby-timeout-ac 0, /x -hibernate-timeout-dc 0 и т.п.
Отключает ожидание и гибернацию, чтобы система постоянно работала и не уходила в спящий режим. Это может быть нужно для непрерывной работы вредоносного кода.
⚠️ 12. Создание вредоносного dialer.exe
Создаёт файл C:\WINDOWS\system32\dialer.exe. Вероятно, это вредоносный компонент.
🧪 13–16. Удаление, создание и запуск скрытого сервиса
Удаляет старый сервис и создаёт новый с произвольным именем, который указывает на вредоносный EXE в ProgramData. Сервис будет запускаться автоматически при старте системы.
🚨 15. Остановка системного журнала событий
cmd sc.exe stop eventlog
Отключает логирование событий. Это мешает расследованию и скрывает следы.
🧬 17. Динамическая генерация вредоносного .NET-кода в PowerShell
C:\Windows\System32\dllhost.exe /Processid:{3a3997b4-63b2-4a14-adf7-fc6a4d4fb2c3} (Application was injected by another process)
🟨 Общие элементы
Обе программы:
Активно используют PowerShell и reg add.
Модифицируют службы и параметры Defender.
Пытаются внедрить исключения в систему защиты.
Используют техники персистентности (запуск по расписанию, скрытые скрипты).
File3.exe:
Этот фaл отличается от других упакован модифицированным UPX. Эта программа уже написана на Go(go1.22.0) но зато активно общается с 188.114.96.3, 172.67.191.102:433 и с другими
Видимо это и есть сам вредонос для удалённого доступ к компьютеру жертвы. Позже я расскажу что же это такое. Обезопасим себя на всякий случай. Вот готовый .bat-файл, который создаст правила в брандмауэре Windows для блокировки IP-адреса 172.211.123.249:
SalatStealer — это тип вредоносного ПО, предназначенный для кражи данных с заражённых устройств.
Он разработан на языке Golang и может выполнять различные действия, включая создание скриншотов и эксфильтрацию файлов.
Использование SalatStealer может привести к серьёзным последствиям, таким как кража личной информации.
Дропает себя в разные места, запускает сам себя:
Конектится к:
https://sa1at[.]ru/sa1at/
https://sa1at[.]ru/sa1at/jcl2eeqx
Сайт sa1at[.]ru был идентифицирован как вредоносный и используется в качестве центра управления (C2) для вредоносного ПО под названием Salat Stealer. По данным ThreatFox, этот домен классифицируется как связанный с ботнетом и имеет высокий уровень достоверности угрозы (100%) .
Рекомендую добавить sa1at[.]ru в файл hosts для блокировки доступа:
SalatStealer — это вредоносное программное обеспечение, классифицируемое как инфостилер, разработанное на языке Go. Оно предназначено для кражи конфиденциальных данных с заражённых систем.
🧬 Основные характеристики
Язык разработки: Go (Golang)
Методы упаковки: Использует UPX (Ultimate Packer for eXecutables) для упаковки исполняемых файлов, что затрудняет анализ и обнаружение.
Основные функции:
Сбор системной информации: данные о жёстком диске, разрешение экрана, активные процессы и окна.
Кража учётных данных из браузеров (Chrome, Firefox, Edge) и почтовых клиентов.
Доступ к криптовалютным кошелькам и кража приватных ключей.
Поиск незашифрованных паролей в текстовых файлах.
Эксплуатация микрофона и камеры для записи аудио и видео, а также возможность трансляции экрана в реальном времени
Salat Stealer — это скрытное вредоносное ПО, разработанное на языке программирования Go, предназначенное для проникновения в системы и извлечения конфиденциальных данных. После заражения устройства оно собирает обширную системную информацию, такую как сведения о жёстком диске, разрешение экрана, запущенные процессы и активные окна. Одной из его наиболее тревожных особенностей является его способность транслировать рабочий стол жертвы в режиме реального времени и захватывать аудио и видео с помощью микрофона и камеры устройства, что создаёт серьёзные проблемы с конфиденциальностью. Кроме того, Salat Stealer способен извлекать файлы из скомпрометированной машины. Его присутствие может привести к значительным рискам, включая кражу личных данных, финансовые потери и серьёзные нарушения конфиденциальности.
Возможности и функциональность
Кража данных и сбор учётных данных • Собирает сохранённые учётные данные из веб-браузеров (например, Chrome, Firefox, Edge). • Извлекает учётные данные для входа из локальных почтовых клиентов. • Получает доступ к файлам криптовалютного кошелька для кражи закрытых ключей или средств. • Ищет незащищённые учётные данные, хранящиеся в текстовых файлах. • Извлекает файлы из скомпрометированной системы, что может привести к серьёзным нарушениям конфиденциальности, финансовым потерям и краже личных данных.
Мониторинг рабочего стола в реальном времени • Обладает возможностями потоковой трансляции, что позволяет злоумышленникам отслеживать активность на рабочем столе жертвы в режиме реального времени. • Может записывать аудио и видео через микрофон и камеру устройства, что создаёт серьёзные риски для конфиденциальности.
Методы сохранения и уклонения • Записывает файлы в критические системные каталоги (Windows, System32, Drivers, Program Files) • Изменяет реестр Windows (ключ Run), чтобы обеспечить автоматическое выполнение при запуске. • Использует методы обхода контроля учетных записей (UAC) для повышения привилегий. • Выполняет сброшенные полезные нагрузки для расширения цепочки атак. • Использует упаковку UPX для сокрытия своего кода и обхода обнаружения на основе сигнатур.
Обзор цепочки атак
Первичное заражение:
Распространяется через фишинговые письма, вредоносные вложения и скрытые загрузки.
Также может распространяться через взломанное программное обеспечение или троянизированные приложения.
Исполнение и настойчивость:
Вредоносная программа запускается при взаимодействии с пользователем, например, при открытии вредоносного файла.
Для достижения устойчивости он использует реестр Windows (ключ «Выполнить»).
Попытки обойти контроль учетных записей (UAC) для получения повышенных привилегий.
Системная разведка и сбор данных:
Перечисляет запущенные процессы и активные окна.
Сканирует сохраненные учетные данные в веб-браузерах, почтовых клиентах и криптовалютных кошельках.
Проверяет языковые настройки системы, чтобы потенциально избежать заражения определенных регионов.
Утечка данных:
Извлеченные учетные данные и сведения о системе отправляются на контролируемый злоумышленником сервер управления и контроля (C2).
Вредоносная программа может попытаться удалить следы своей активности, чтобы избежать обнаружения.
Обход контроля учетных записей пользователей (UAC)
SalatStealer использует обходные методы контроля учетных записей (UAC) для получения повышенных привилегий без оповещения пользователя. Устанавливая ключ EnableLUA в \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA на «0» (отключает UAC).
При установке EnableLUA на 0 вредоносная программа отключает принудительное применение UAC, что позволяет ей выполнять административные команды и сохранять устойчивость, обходя ограничения безопасности. Однако это изменение вступает в силу не сразу — для полного отключения UAC требуется перезагрузка системы. Пока система не перезагрузится, запрос UAC будет по-прежнему отображаться при запуске вредоносной программы.
Механизм устойчивости SalatStealer
SalatStealer обеспечивает постоянство, копируя себя в случайные каталоги. В моем случае он скопировал себя в:
C:\Program Files (x86)\Защитник Windows\
C:\Program Files (x86)\Windows NT\
Затем он создает ключи запуска в реестре Windows, чтобы обеспечить выполнение при запуске:
Мониторинг экрана и рабочего стола в реальном времени
Salat Stealer может непрерывно делать снимки экрана и даже транслировать содержимое рабочего стола жертвы на командный сервер (C2) злоумышленника, обеспечивая наблюдение за его действиями в режиме реального времени.
Кража данных буфера обмена
Salat активно отслеживает активность буфера обмена, что позволяет ему перехватывать скопированный текст, включая пароли, адреса криптовалют и другие конфиденциальные данные.
Кейлоггерство – перехват нажатия клавиш
Salat Stealer записывает все, что вводится в систему жертвы, фиксируя учетные данные, сообщения и любые другие вводимые данные в режиме реального времени.
Аудио- и видеошпионаж
Salat Stealer функционирует как полноценный шпионский инструмент, способный:
Запись микрофона: захват и передача звука с микрофона жертвы. Доступ к веб-камере: запись видео с веб-камеры системы. Прямая трансляция: трансляция аудио- и видеопотоков в реальном времени на удалённый сервер злоумышленника.
Эксфильтрация
Salat Stealer использует скрытый процесс эксфильтрации для передачи украденных данных на свой сервер C2, используя шифрование AES для сокрытия конфиденциальной информации перед передачей. Файлы упакованы в архивы ZIP
Заключение
SalatStealer — это скрытное и устойчивое вредоносное ПО, предназначенное для кражи конфиденциальных данных, избегая обнаружения. Собирая учетные данные, изымая файлы и обеспечивая наблюдение в реальном времени, оно представляет серьезные риски для жертв, включая финансовые потери, кражу личных данных и нарушения конфиденциальности. Оно использует обход UAC и изменения реестра, что затрудняет удаление. Кроме того, его механизмы шифрования и упаковка UPX еще больше усложняют анализ и обнаружение. Учитывая его широкую направленность на веб-браузеры, криптовалютные кошельки и приложения для обмена сообщениями, SalatStealer остаётся значительной угрозой, подчёркивая необходимость постоянного мониторинга и расширенных мер безопасности для противодействия его воздействию.
Как оказалось некоторые считают ИИ каким-то разумом, как-то живущим в компьютерах, а не банальной компьютерной программой, способной адаптироваться под условия поставленных задач для поиска решения. Да, они могут синтезировать изображения под заданные описания на основе известных им шаблонов. И синтезировать песни, тексты по тому же принципу и искать информацию в доступном массиве данных, некоторые могут синтезировать небольшие программные коды на небольшом количестве языков программирования, но и здесь принцип тот же. И вот что будет делать любой ИИ против этой фишки (фото взято из каталога одного маркетплейса):
Это банальный ключ безопасности, его и аналоги можно легко купить в любом маркетплейсе. Только вопрос цены. И что хоть какой ИИ сможет сделать против него? Тема закрыта. На комментарии по ней больше не отвечаю.
![🗓 25.07 — День системного администратора (SysAdmin Day) [вехи_истории]](https://cs20.pikabu.ru/s/2025/07/20/23/q47kwvxz.jpg)
![🗓 12.05.2017 - WannaCry [вехи_истории]](https://cs20.pikabu.ru/s/2025/05/11/22/qe7kx6vc.jpg)
